Di: Kryptus

Le violazioni dei dati e gli incidenti di sicurezza stanno diventando sempre più costosi. British Airways e Marriott hanno dovuto aggiungere 100 milioni di dollari ciascuna al costo finale dei loro incidenti dopo aver commesso una violazione. Legge europea sulla protezione dei dati generali.

Sebbene questi esempi siano estremi, l'impatto finanziario di una violazione dei dati continua ad aumentare di anno in anno per aziende di ogni tipo e dimensione. Il costo medio di una violazione dei dati è salito a 3,92 milioni di dollari, secondo un nuovo rapporto di IBM e del Ponemon Institute.

Il rapporto mostra un aumento dei costi dell'1,6% nel 2018 e del 12% negli ultimi cinque anni. Questo include una combinazione di costi diretti e indiretti legati al tempo e all'impegno impiegati per gestire una violazione, opportunità perse come l'abbandono dei clienti dovuto a cattiva pubblicità e sanzioni normative.

Le violazioni dei dati stanno diventando più grandi e costose

A livello globale, poco meno del 30% delle organizzazioni rischia di subire almeno una violazione nei prossimi 24 mesi. Le organizzazioni negli Stati Uniti devono affrontare i costi più elevati, con una media di 8,19 milioni di dollari per violazione, a causa di un complesso panorama normativo che può variare da stato a stato, soprattutto per quanto riguarda la notifica delle violazioni. Nel Regno Unito, la cifra è leggermente inferiore alla media globale di 3,88 milioni di dollari.

 La dimensione media delle violazioni dei dati è ora di 25.575 record, con un aumento del 3,9% rispetto al 2018. Il costo finale per record può essere influenzato da fattori legati alla qualità dell'organizzazione e alla sua risposta a una violazione. Una violazione può comportare un tasso di abbandono dei clienti del 3,4%, leggermente superiore rispetto allo scorso anno, a indicare che i clienti stanno diventando meno inclini ad accettare le violazioni della sicurezza.

Sebbene la perdita di migliaia di dati contemporaneamente stia diventando comune, le violazioni di Equifax che coinvolgono milioni di dati sono ancora relativamente rare. Secondo IBM, una "mega violazione" di 1 milione di dati può costare a un'azienda 42 milioni di dollari, in aumento rispetto ai 40 milioni di dollari dell'anno scorso, mentre la perdita di 50 milioni di dati può costare a un'azienda 388 milioni di dollari.

Data la natura altamente sensibile e regolamentata dei dati che gestiscono, settori finanziari e salute Non sorprende che siano loro ad affrontare i costi più elevati per record: fino a 429 dollari per l'assistenza sanitaria e 210 dollari per la parte finanziaria. Il livello di regolamentazione gioca un ruolo significativo nel determinare quanto un'azienda dovrà pagare per riprendersi da una violazione dei dati. I settori fortemente regolamentati, come assistenza sanitaria e servizi finanziari, hanno costi medi di 6,45 milioni di dollari e 5,86 milioni di dollari per incidente, mentre i settori meno regolamentati, come il commercio al dettaglio e l'ospitalità, registrano costi medi per incidente inferiori a 2 milioni di dollari.

"Con le cartelle cliniche, in alcuni casi si ottengono informazioni come l'intera storia clinica, ad esempio che la persona è stata operata al ginocchio l'anno scorso e ha seguito una terapia fisica", afferma Wendi Whitmore, Direttore di X-Force Threat Intelligence presso IBM. "In genere si ottengono anche molte altre informazioni personali identificabili, lo stesso tipo di informazioni che si otterrebbero da una carta di credito."

La risposta lenta a una violazione dei dati aumenta i costi

Il tempo è denaro e la lentezza nel rilevare e contenere una violazione può essere costosa. Secondo il rapporto, IBM, ora occorrono 279 giorni per identificare e contenere una violazione, rispetto ai 266 dell'anno scorso. Risposte rapide possono comportare un enorme risparmio sui costi. Le aziende in grado di rilevare e contenere una violazione in meno di 200 giorni hanno speso, in media, 1,2 milioni di dollari in meno.

"Il tempo è davvero denaro", afferma Whitmore. "Più a lungo un aggressore rimane in un ambiente, maggiore è l'accesso a dispositivi diversi, dati diversi, account diversi e a tutto ciò di cui abbiamo bisogno per bloccare l'accesso e limitare l'impatto futuro. Questo aumenta sicuramente i costi."

Le organizzazioni tedesche e sudafricane sono le più rapide a individuare e contenere le violazioni, rispettivamente con 170 e 226 giorni, mentre le aziende in Medio Oriente (381) e Brasile (361) impiegano più tempo. Le organizzazioni del settore sanitario, pubblico e dell'intrattenimento impiegano più tempo a scoprire e contenere una violazione, con una media di oltre 310 giorni, mentre i settori dei servizi finanziari, della tecnologia e della ricerca sono stati i più rapidi nell'individuazione e nella risoluzione.

Quest'anno, per la prima volta, IBM e Ponemon hanno analizzato la "coda lunga" delle violazioni dei dati, scoprendo che le organizzazioni ne pagano il prezzo per anni a venire. Circa il 67% del costo si verifica nel primo anno, il 22% nei successivi 12-24 mesi e il restante 11% si verifica più di due anni dopo. Pur rappresentando un esempio estremo, Equifax ha recentemente accettato di pagare 575 milioni di dollari – potenzialmente fino a 700 milioni – in un accordo con la Federal Trade Commission per la violazione dei dati del 2017.

"Spesso, i clienti a cui ci rivolgiamo vedono una violazione dei dati come un costo una tantum: sarà uno sforzo enorme, ma poi torneremo operativi", afferma Whitmore. "Ma la realtà è che solo il 67% del costo viene sostenuto durante il primo anno, mentre il restante 33% viene sostenuto nei due o tre anni successivi, ad esempio per il monitoraggio di follow-up o il monitoraggio del credito. Capital One, Equifax, se hanno un gran numero di dati creditizi derivanti da violazioni dei dati dei clienti, ne sono responsabili e diventano un costo continuativo".

Regolamenti e sanzioni

Con l'introduzione del GDPR e una serie di leggi simili che spuntano in tutto il mondo, la conformità sta diventando una parte significativa del costo di una violazione. "Se si considera solo gli Stati Uniti, ci sono 52 diverse leggi statali sulla privacy", afferma Whitmore. "Questo significa che quando queste violazioni si verificano frequentemente, la maggior parte delle aziende non dispone di personale dedicato in ogni team. Quindi devono assumere personale esterno e esternalizzare per garantire di non dover sostenere questi costi".

Le aziende che non sono disposte a pagare per la consulenza di esperti per garantire la conformità possono incorrere in sanzioni normative, che stanno diventando sempre più salate. La catena alberghiera Marriott ha inizialmente affermato che la violazione dei dati del 2018 le è costata circa 28 milioni di dollari, la maggior parte dei quali era coperta dall'assicurazione aziendale. Tuttavia, nel luglio 2019, l'autorità britannica per la protezione dei dati, l'ICO, ha comminato una multa di 124 milioni di dollari all'azienda per inadempienza alla conformità. GDPRUna multa ancora più elevata è stata inflitta a BA dall'ICO nella stessa settimana. Con la minaccia di sanzioni così elevate, le aziende devono adottare un approccio più proattivo alla privacy dei dati per ottenere un parere più favorevole da parte delle autorità di regolamentazione.

"Prevediamo costi maggiori, probabilmente in modo significativo, e credo che questo cambierà radicalmente il panorama degli investimenti delle organizzazioni", afferma Whitmore. "Idealmente, ciò significa che stanno effettuando investimenti più proattivi e che stanno cercando di prepararsi, fare pratica e garantire di poter limitare l'impatto della perdita di tali dati quando si tratta di questo tipo di violazioni".

Impatto della violazione dei dati sul prezzo delle azioni

Oltre ai costi materiali, è probabile che anche il prezzo delle azioni delle società quotate in borsa subisca un impatto a causa delle violazioni dei dati. Comparitech ha analizzato i prezzi delle azioni delle società quotate in borsa a New York dopo 33 violazioni dei dati che hanno coinvolto almeno 1 milione di record, scoprendo che le violazioni in genere non hanno un impatto a lungo termine sul valore aziendale.

I prezzi delle azioni delle società violate hanno raggiunto un minimo di 7,3 giorni, circa il 14%, dopo una violazione e hanno registrato una performance inferiore al NASDAQ più ampio del -4%. Sebbene sia probabile che le aziende vedano i prezzi delle loro azioni riprendersi e persino salire al di sopra della media di mercato nei primi sei mesi dopo una violazione, è comunque probabile che abbiano una performance inferiore nel NASDAQ, in calo del 6,5% 12 mesi dopo. Un esempio recente: nel novembre 2019, le azioni di Macy's sono crollate dell'11% in un solo giorno dopo la divulgazione di una violazione e l'azienda ha subito un "incidente di sicurezza dei dati altamente sofisticato e mirato... che ha colpito un numero limitato di clienti durante una settimana di ottobre". Tuttavia, entro la fine di dicembre di quell'anno, il prezzo delle azioni della società si era ripreso.

"Le aziende che divulgano dati altamente sensibili, come i numeri delle carte di credito, tra cui Macy's, in genere registrano un calo più marcato del prezzo delle azioni rispetto alle aziende che divulgano dati meno sensibili", afferma Paul Bischoff, avvocato specializzato in privacy presso Comparitech.

Come ridurre i costi di una violazione: avere un piano di risposta

È un ritornello comune che subire una violazione dei dati sia quasi inevitabile e, pertanto, il modo migliore per contenere i costi è essere preparati a ogni eventualità. Il rapporto afferma che le aziende che hanno un team di risposta agli incidenti (IR) e hanno ampiamente testato il loro piano IR con almeno due esercitazioni pratiche hanno registrato in media 1,23 milioni di dollari in meno di costi per violazione dei dati rispetto a quelle che non avevano adottato misure di sicurezza.

"Non dovresti limitarti a un documento che dice: 'Ecco le informazioni di contatto del team di sicurezza', ma dovresti provare questi tipi di scenari in un ambiente immersivo in cui possono testare altri piani, identificare lacune e, idealmente, contenerle prima di subire questi attacchi nella vita reale", afferma Whitmore.

Un altro aspetto importante è la risposta del pubblico. Perdere la fiducia dei clienti comporta una perdita di opportunità commerciali, che può aumentare il costo complessivo di una violazione. "Un aspetto fondamentale è la comunicazione dopo e durante una violazione", spiega Whitmore. "Come possiamo comunicare in modo efficace ai nostri clienti cosa sta succedendo? Questi eventi possono rappresentare un'opportunità per costruire un rapporto di fiducia e fiducia con i clienti se gestiti correttamente, ma ciò richiede una preparazione e una formazione approfondite da parte di queste organizzazioni."

L'estensione dell'uso della crittografia, l'automazione della sicurezza ove possibile e la presenza di un team IR possono ridurre i potenziali costi di una violazione, soprattutto se i team e i piani IR vengono regolarmente testati.

Dal punto di vista tecnico, gli approcci di DevSecOps, la formazione dei dipendenti, l'assicurazione informatica e il coinvolgimento del consiglio di amministrazione nella sicurezza riducono in media il costo di una violazione di oltre 100.000 dollari ciascuno. D'altro canto, le violazioni causate da terze parti, la migrazione al cloud, l'Internet of Things o le tecnologie operative possono aumentare il costo di una violazione di oltre 100.000 dollari ciascuna, in media.

Il consiglio principale di Whitmore per ridurre i costi di una violazione è di avere un'adeguata visibilità del proprio ambiente e garantire backup offline affidabili e testati. "Se riusciamo a ridurre significativamente il tempo necessario per identificare una violazione e contenerla, queste organizzazioni non subiranno la perdita di così tanti record e, in definitiva, non dovranno affrontare lo stesso livello di sanzioni che stiamo vedendo ora".

“In casi di ransomware o malware "Quando si parla di distruttività, vediamo le organizzazioni perdere l'accesso ai loro dati più critici e impiegare molto tempo nel tentativo di ricostruire i propri ambienti per riottenerli", continua Whitmore. "Consiglierei di avere backup offline dei dati più critici."

Fonte: cio.com.br

VOCÊ PODE GOSTAR:
Il valore delle richieste di riscatto per i ransomware aumenta del 950% nel 2019
Il valore delle richieste di riscatto per i ransomware aumenta del 950% nel 2019

Di: Débora Menezes Uno studio dimostra che il valore delle richieste di riscatto è aumentato da $ 100 a $ 100.000. Per saperne di più

La tua azienda è sicura? 5 segnali di attacchi informatici
Illustrazione che mostra la sagoma di un criminale informatico incappucciato, con le mani alzate verso un lucchetto digitale, circondato da codici binari e simboli digitali, che suggeriscono segni di attacchi informatici.

Riconoscere subito i segnali degli attacchi informatici ed evitare intrusioni catastrofiche. In un Per saperne di più